alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Израильтяне советуют всем быть бдительными и готовыми к кибератакам. При этом некоторые хакерские группировки призывают присоединиться к ним для атак на киберпространство Израиль 🇮🇱.

ЗЫ. Интересный факт. У израильтян есть приложение Цофар, которое предупреждает о ракетных ударах по Израилю. Так вот ортодоксальным евреям, соблюдающим Шаббат, по субботам запрещено пользоваться телефоном и Интернетом и многие из них вовремя просто не узнали о нападении ХАМАС. К чему это я? К тому, что процессы ИБ должны учитывать религиозные аспекты 🛐 того региона, в котором они реализуются.

Читать полностью…

Пост Лукацкого

Осень… Птицы улетают на юг, а депутаты и сенаторы готовят кучу 💩 законодательных инициатив в области ИБ (персданные, VPN, аутентификация, биометрия…). И попытка понять, зачем они это делают и что они вообще имеют ввиду, похожа на диалог с обкуренным наркоманом 😵‍💫

А самое главное, что с ними бессмысленно обсуждать что-то. У них либо разнарядка сверху, либо собственная инициатива, что еще хуже. Все объяснения приводят только к тому, что они переписывают законопроект так, как они поняли (а поняли они неправильно) и ситуация становится еще драматичнее.

Читать полностью…

Пост Лукацкого

Интересная история. Некие хакеры взломали популярный сервис анализа генетической информации 23andMe и утверждают, что утянули очень чувствительные данные 7 миллионов пользователей. Там не только фото и идентификационные данные, но и сведения о здоровье, геноме человека, маркерах возможной родословной и т.п., то есть то, что у нас бы назвали спецкатегорией ПДн. Компания 23andMe до сих пор не подтвердила инцидент, а виновник утечки обижается, что этому инциденту уделяется так мало внимания. Более того, он обещает выложить все данные в Интернет, если компания не признает случившийся инцидент. А пока одни не признаются, а другие требуют к себе внимания, акции компании упали на 15% 📉

Если честно, это очень хорошая иллюстрация к истории про недопустимые события. По большому счету насрать, был реальный взлом или кто-то надергал данных за счет веб-скраппинга (ага, 7 миллионов записей о состоянии здоровья), бизнес пострадал и пострадал значительно (падение на 15% - это прям много). ИБшники могут валить все на ИТ, мол, это они порты не прикрыли и допустили скраппинг. ИТ может валить все на ИБ, мол, это они нормально не умеют в обнаружение и реагирования. Но факт есть факт - произошло то, что волнует именно бизнес и то, что не должно было быть допущено. Недопустимым событием тут является - падение курса акций более 15% (ну или 10% - у всех свои пороговые значения). Произошло оно из-за косяков в ИТ-инфраструктуре. Предотвратить его можно было путем харденинга (ИТ-епархия) или за счет оперативного мониторинга и реагирования (зона внимания ИБ). А признают это инцидентом или нет, вопрос уже десятый...

Читать полностью…

Пост Лукацкого

Если у вас на домашнем Wi-Fi нельзя включить многофакторную аутентификацию, то хотя бы пароль сделайте подлиннее!

Читать полностью…

Пост Лукацкого

Выступал сегодня на GIS DAYS с темой про искусственный интеллект в ИБ. Часть слайдов 🤘, а я три вывода с выступления повторю тут:
🔤Не может компания, выпускающая средства защиты от угроз, не иметь своего центра исследований угроз, своих хакеров и своего круглосуточного SOC. Если у нее этого нет, то как она может вообще что-то знать об угрозах? Побирается по рынку и тырит чужие сигнатуры (есть у нас такие)? Или как школьники в подворотне обсуждают с умным видом секс, не разу его не попробовав?
🔤Нельзя сегодня заниматься искусственным интеллектом в ИБ (в контексте борьбы с угрозами), не имея актуального, релевантного и постоянно обновляемого датасета с хакерскими техниками. И получить его можно только либо имея доступ к большому объему трафика (поэтому у провайдеров есть фора в этом вопросе), либо имея киберполигон, либо постоянно гоняя своих белых хакеров в хвост и в гриву, чтобы они прокачивали свои скиллы, а вы собирали данные об их действиях. Ну или надо быть Сбером, чтобы тебя постоянно пытались похекать.
🔤Нельзя заниматься искусственным интеллектом в ИБ, если у вас нет специалистов (отдела), которые выделенно занимаются этим вопросом. Купить чужую экспертизу, не разбираясь в ней, не поможет.

Читать полностью…

Пост Лукацкого

На фоне вчерашнего распространения депутатами комитета по информационной политике новостей о том, что бизнес должен перенимать методы ИБ госорганов, которые защищены лучше коммерсантов 🤔, фрагменты слитой переписки руководителя ИБ одного из крупнейших госов, выглядят особенно пикантно. Вот почему ИБ в госах лучше - просто святой воды жалеть не надо 🛐

Читать полностью…

Пост Лукацкого

А мне никто не пишет и не звонит 😭 И ведь даже не полковник.

Читать полностью…

Пост Лукацкого

Поздравлю сам себя с днем учителя 👨‍🏫 Тем более и картинка у Руста подходящая оказалась. Я думал, это у блогеров такая отмазка только, а оказывается у учителей тоже 🫥

Ну и чтобы дважды не вставать и заставить себя довести до завершения задачу - обязуюсь в понедельник выложить в онлайн-школе «Вышибала» новый курс по визуализации ИБ. Два года уже как записан, а выложить на платформу не доходят руки 💪

Читать полностью…

Пост Лукацкого

Темнокожего мужчину с плакатом "No russian hackers" задержали в знаменитом кинотеатре "Октябрь" на Новом Арбате в Москве. Судя по видео, дядя пытался привлечь внимание прессы.

Звучит резонансно, но как оказалось, это промокампания сериала "Короче, план такой" о приключениях команды русских хакеров, который в этот самый момент презентовали.

😋 Подписывайся на Mash

Читать полностью…

Пост Лукацкого

Кто спрашивал, как попасть в Positive CISO Club? 👇 ссылочка есть. Действует ограниченное время

Читать полностью…

Пост Лукацкого

💻Институт профессиональных операторов персданных — перспектива для рынка инфобеза

Принял участие в пленарном заседании BIS SUMMIT 2023 — здесь собрались ведущие специалисты рынка информационной безопасности России. Вопрос стоял злободневный: что должно сделать государство, чтобы обезопасить отрасль и граждан от взрывного рост утечек информации?

Наталья Касперская, президент ГК InfoWatch, председатель Правления АРПП «Отечественный софт», привела интересную статистику, собранную ее компанией. Аналитики сравнили ситуацию с утечкой данных в России и в мире — резкий рост количества инцидентов с информацией был зафиксирован в 2022 году не только в нашей стране. Обратил внимание коллег на то, что ситуация с утечками в России с 2022-го напрямую связана с СВО и развернутой кибервойной против нас.

⌨️Информация о том, что в первом квартале 2023 года в России отмечено снижение количества утечек на фоне общемирового тренда на их увеличение, свидетельствует о том, что последовательная стратегия государства дает свои результаты. Причем, если в мире на утечку персданных приходится 56,5%, то в России на этот вид инцидентов с информацией — 73,6%. Очевидно, что без введения серьезной ответственности для операторов эту проблему не решить.

Наши поправки в КоАП, которые предусматривают значительное увеличение штрафов за утечки, вплоть до оборотных за повторные, до сих пор вызывают споры в отрасли. Некоторые компании, которые сейчас экономят на инфобезе, запустили информационную кампанию, пытаясь показать, что утечки не являются серьезной проблемой. Государство последовательно наводит порядок в этой сфере, а при обсуждении законопроекта мы учтем предложение о введении смягчающих обстоятельств для оператора — например, как отметил Милош Вагнер, заместитель руководителя Роскомнадзора, регулятор примет во внимание то, что компания сообщит в течение 24 часов об утечке, а о результатах проведенного внутреннего расследования в течение 72 часов.

Работа над пакетом законопроектов об ужесточении санкций за утечку персданных вышла на финишную прямую, сейчас он проходит этап отзыва в Правительстве. Уверен, что законы попадут на рассмотрение в Госдуму уже в осеннюю сессию.

❗️К сожалению, сейчас к обработке персданных операторы относятся безответственно. Проблема кроется и в их чрезмерном количестве, сейчас ведь эти данные с согласия гражданина могут собирать практически все — от гостиницы до торговой сети. По оценкам Роскомнадзора, таких субъектов уже насчитывается более миллиона. Нужно подумать об, условно говоря, институте профессиональных операторов персданных, которым на хранение будет передаваться информация. Создав такой инструмент, можно обеспечить надежное хранение персданных россиян в масштабах всей страны.

Читать полностью…

Пост Лукацкого

Солью без разрешения фоточку с гардероба грядущего в этот понедельник Positive Security Day. Барбикор и куча брутальных ИБшников. И это только одна из прикольных фишек мероприятия, регистрация на которое скоро завершится. Про контент вообще молчу 🤐

ЗЫ. Если мероприятие проходит в кинотеатре, то скучно там точно не будет. Погружение в атмосферу кино 🎥 будет полное! 🍿

Читать полностью…

Пост Лукацкого

А вы уже внесли себе в расписание даты проведения Moscow Hacking Week? 18-26 ноября! «Синие» начинают и... выигрывают. Но могут и «красные». Целых 8 дней реальной битвы «красных» и «синих», которая покажет, ху из кто?

ЗЫ. Начало видео смотрите в первой серии.

Читать полностью…

Пост Лукацкого

Уникальный кастомизированный бинарник для каждой жертвы. Вы все еще надеетесь, что антивирус вас спасет? 🆘 Для таких вредоносов без EDR и песочницы не обойтись 👋 Да и NTA/NDR для отслеживания C2-коммуникаций тоже будет не лишним.

Читать полностью…

Пост Лукацкого

Из свежих кейсов, которые достойны того, чтобы обратить на них внимание с точки зрения моделирования угроз. Ну я, по крайней мере, точно обратил. Итак, первая история с группировкой Lazarus, которая атаковала аэрокосмическую компанию в Испании. Детали об атаке будут раскрыты завтра на конференции Virus Bulletin, но какие-то моменты уже просочились. В частности меня зацепил первичный вектор атаки, когда хакеры под видом фейкового рекрутера через LinkedIn связались с жертвой и предложили ему сменить работу и перейти в запрещенную в России корпорацию Meta, для чего жертве надо было выполнять ряд тестовых заданий, за которыми и скрывался вредонос, позволяющий расширить затем плацдарм внутри компании. Это все к разговору о том, что за разработчиками нужен глаз да глаз и пускать их одних в бушующее море Интернета без надзора со стороны ИБ не стоит.

Вторая история связана с 26-тилетним бывшим инвестиционным аналитиком из Goldman Sachs, который сливал инсайдерскую информацию через аудиочат игровой консоли Xbox. Осужденный думал, что его никто не отследит, о чем он прямо сообщал своим подельникам. И вот тут у меня, конечно, возникает ряд вопросов насчет того, кто вообще решил мониторить этот канал утечки. Это было сделано службой ИБ или ФБР, уже после получения подозрений в торговле инсайдерскими сведениями. Если первое, то ИБшникам Goldman Sachs прям респект и уважуха - не часто такие каналы берут на мониторинг. Да и инструментов для их мониторинга не так чтобы и много. Ваша DLP может такое?

Читать полностью…

Пост Лукацкого

Тут на всяких ресурсах хакерский журнальчик распространяют. И там самая большая статья, аж на 40 страниц, про отключение Касперского AV/EDR. С одной стороны это признание, а с другой - повод задаться вопросом, а как вы проверяете, что установленные у вас средства защиты, особенно хостовые, продолжают работать и мониторить вредоносную активность? И есть ли у вас процедура оперативного возвращения средств защиты в исходное состояние? Одно дело когда антивирус просто не видит современных вредоносов и совсем другое, когда его выносят с компа на 1-2-3.

ЗЫ. Ну а распространение через центр управления антивирусом вредоносов - это вообще нехорошо. То есть покупая средство защиты не забудьте убедиться не только в том, что оно защищает вас, но и что оно само защищено.

Читать полностью…

Пост Лукацкого

И второй важный момент про инцидент с 23andMe. На днях я читал курс по реагированию на инциденты для одной весомой финансовой организации. И среди прочего зашел разговор о том, как работать с публичным пространством, если происходит недопустимое событие или инцидент ИБ. И мнения в группе предсказуемо разделились, но большинство все-таки было за то, чтобы не выносить сор из избы (классическое ИБшное мышление; сам таким был). А вот эта история показывает, что пока мы думаем, скрывать или раскрывать, как общаться со СМИ и инвесторами, как доносить с пользой для себя (а это можно), наступает серьезный ущерб бизнесу.

Тут на портале результативной кибербезопасности как раз на неделе (это действительно совпадение) выложили статью "Как общаться с внешним миром, если вас взломали". Там даны базовые рекомендации (думаю, скоро там появятся и более расширенное руководство, с шаблонами, примерами и т.п.) по тому, как себя вести в схожих случаях. И всегда помните правило 4-х часов - "если за 4 часа вы не успели среагировать на инцидент в публичном поле и взять ситуацию под контроль, то вы упустили момент, дальше ситуация будет развиваться неуправляемо и взять ее под контроль обойдется гораздо дороже".

Читать полностью…

Пост Лукацкого

Когда 166-й Указ настигает даже физлиц. Какого рожна, спрашивается, меня должен касаться 166-й Указ? А вот поди ж ты…

Читать полностью…

Пост Лукацкого

В Москве появилась новая площадка для проведения ИБшных мероприятий - «Кибердом». Вот так выглядит один из входов. Прям взрывает мозг 🤯 Но и другие места этой площадки тоже заслуживают внимания. Если не прощелкаю, то нащелкаю еще чего-нибудь

Читать полностью…

Пост Лукацкого

Смотрите, что у меня есть 😊 Сейчас за прохождение таких курсов можно и по статье загреметь.

ЗЫ. А вообще это фейк - взял на страничке одной мадам и просто поменял там имя. Даже не знаю, стоит ли такие сертификаты выкладывать в Интернет. А то ведь взял, затер имя, написал свое и вуаля, теперь ты обучался в Центре компетенций НАТО по кибербезопасности. Хотя если кому-то надо пыль в глаза пустить, то вполне себе тема. Проверить-то все равно невозможно.

Читать полностью…

Пост Лукацкого

📨 Сегодня несколько наших сотрудников получили сообщения в Telegram — якобы от нашего коллеги, эксперта по кибербезопасности.

Начинается все со звонка для привлечения внимания, переходящего в диалог, в котором собеседник просит перевести деньги на карту или криптокошелек.

Наши сотрудники хорошо осведомлены о базовых принципах кибербезопасности и сразу поняли, что по ту сторону экрана — мошенник. И решили воспользоваться моментом, чтобы немного пошутить над ним.

Как пишут коллеги из ISACA, наш случай не единственный. Злоумышленники массово распространяют такие фишинговые сообщения и выдают себя за известных экспертов в области ИБ.

💬 На что стоит обратить внимание, если вы получили такое сообщение?

‎ Главное: если человек уже есть в ваших контактах, то вверху диалога не должно быть кнопок «Добавить в контакты» и «Заблокировать».

Проверяйте написание ника и номера телефона. Если номера у аккаунта нет, но вы точно уверены, что пользователь есть в ваших контактах, — это еще один повод насторожиться.

Позвоните реальному человеку по номеру телефона, который вам известен, и предупредите его.

Заблокируйте аккаунт мошенника.

@Positive_Technologies

Читать полностью…

Пост Лукацкого

Хакеры не щадят никого - даже рукодельниц 🪡 Спектр жертв поражает - от фанатов квиллинга, валяния и декупажа до «Красного креста».
Ничего святого у людей 😈

ЗЫ. Хорошо, что недоступные вчера сервисы ГИБДД и сервера Xiaomi на хакеров не повесили 🤷

Читать полностью…

Пост Лукацкого

Ну вот и трейлер этого самого сериала 🤕 Не знаю, насколько он про хакеров 🔓 Судя по ролику скорее комедия с элементами ИТ на хайповую тему. Но посмотрим, когда выпустят. Может и родят что-то интересное 😂 Хотя там упоминается ИРИ 😱, а они ни в чем-то полезном замечены пока не были 🛡

Читать полностью…

Пост Лукацкого

👩‍🎤 «В авангарде киберискусства» — под таким слоганом мы провели третью встречу сообщества CISO «Позитив клуб».

Атмосфера вечера полностью соответствовала слогану: под классическую музыку с видом на Кремль 150 экспертов из ведущих российских компаний обсудили актуальные вопросы и тренды в мире кибербезопасности, а также обменялись реальным опытом устранения инцидентов. И все это останется только между участниками.

Почему для руководителей по ИБ создавать дашборды и отчеты — тоже своего рода искусство? Об этом членам клуба рассказал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

Денис Батранков, консультант по ИБ Positive Technologies, рассказал, какая экспертиза должна быть в средствах сетевой безопасности.

Перед участниками также выступил Сергей Клевогин, эксперт по информационной безопасности. Он поделился наблюдениями о том, как кибербезопасность выглядит в глазах бизнеса.

Участники не только поучаствовали в деловой программе, но и попробовали наши фирменные коктейли, а в подарок получили профессиональные фотографии, которые смогут добавлять в презентации 😉

Присоединиться к «Позитив клубу» можно заполнив форму на сайте (но мы этого не говорили, пусть останется между нами).

@Positive_Technologies
#ПозитивКлуб

Читать полностью…

Пост Лукацкого

От владельцев ИБ-аутсорсера «Я твой SOC имел», юридического бюро «Я твой КИИ вертел», пентестерской конторы «Я твой сайт шатал» и багбаунти-платформы «Я твой дыра продал»! 😂

Читать полностью…

Пост Лукацкого

— Когда вы говорите, Иван Васильевич, впечатление такое, что вы бредите.

Я регулярно вспоминаю советскую классику, когда слышу идеи наших законодателей. Предложение Хинштейна сродни идее с банком спермы. Она всегда при тебе и отторгнуть ее от себя и насовсем невозможно. Но есть некое хранилище, которое за большое бабло заморозит часть тебя и будет хранить ее, конечно же, не допуская никаких утечек. Идея уровня 2011 года, когда РКН очень долго объяснял, как можно передавать ПДн зарубеж, но не хранить их там. Этакая непрерывная циркуляция данных без остановки.

И тут также. Данные собирают все (не бывает исключений). Как заставить всех отменить сбор и передать это все группке непонятно как выбранных «доверенных» операторов? Так они же еще и деньги будут требовать за хранение и каждое обращение к ПДн. Этакая «ЕБС 2.0». А когда оттуда утекут данные, все опять начнуть разводить руками 🤷 и говорить, что ничего не было и вообще это не у них.

Читать полностью…

Пост Лукацкого

Gartner выпустил очередной обзор перспективных вендоров решений для SOCов. В этот раз их пять - Veriti, Seemplicity, Gem Security, DevOcean и Defants. Вы о них слышали?

Читать полностью…

Пост Лукацкого

Спасая кого-то от хакеров убедись, что он готов к твоей помощи. Учитывай возможности спасаемого и уровень его подготовки. Именно поэтому в фрейморке PICERL (Preparation, Identification, Containment, Eradication, Recovery, Lesson Learned) на самом первом этапе стоит обучение. Иначе и навредить можно 🤕

Читать полностью…

Пост Лукацкого

Ко мне тут пришли и говорят: "Вот ты тут проводил штабные киберучения и нам очень понравилась идея. Мы хотим также!". Так вот я хочу сказать, что «Хочу также» - это не постановка задачи 😊 Чтобы провести штабные киберучения нужно как минимум ответить себе на вопрос - хотите вы фана или вам реально нужно прокачать навыки персонала. Ибо в первом случае подготовки почти никакой от заказчика не надо - предоставь помещение, оборудование, призы подготовь, да народ созови. А все остальное я сам сделаю 💪

А вот во втором случае все гораздо сложнее - нужно провести предварительный анализ текущий ситуации с ИБ в организации, с ее процессами и их недостатками. Затем сформировать перечень тем для прокачки навыков, потом разработать сценарий и согласовать его с заказчиком, потом провести киберучения и... Нет, не почивать на лаврах, а проанализировать их ход, оценить ответы команд, составить список слабых мест и рекомендаций по их нейтрализации, а также улучшению проверенных процессов. И все это не в одно лицо, а вместе с заказчиком киберучений. Поэтому "хочу также" говорит только о том, что кто-то просто хочет выехать на чужом горбу хайпе, организовав что-то прикольное, а потом отчитаться за его проведение.

Кстати, у госов такое бывает сплошь и рядом - ты у них делаешь всё, готовишь кейсы, отрабатываешь сценарий, проводишь киберучения, а все лавры они приписывают себе. Как в известном анекдоте: "мы пахали", сказала муха 🪰, сидя на голове у лошади. Кто-то еще и бюджетные деньги за это получает. Ну да ладно. Может все равно на пользу пойдет и хоть какие-то знания после киберучений останутся ☝️

Читать полностью…

Пост Лукацкого

📣📣📣📣📣
Все по плану!

4 октября во всех субъектах России будут проверять систему оповещения населения.

🎤Зазвучат сирены и громкоговорители - так подается сигнал "Внимание всем!"

Эфир общероссийских теле- и радиоканалов будет замещен информацией по безопасности.

Также информация будет доступна в мобильном приложении «МЧС России».

Все это делается для проверки работоспособности систем оповещения регионального и муниципального уровней.

Сохраняйте спокойствие - подача звуковых сигналов плановая.

@mchs_official

Читать полностью…
Подписаться на канал